MỘT SỐ VẤN ĐỀ PHÁP LÝ VỀ BẢO ĐẢM BÍ MẬT THÔNG TIN KHÁCH HÀNG TRONG HOẠT ĐỘNG NGÂN HÀNG

MỘT SỐ VẤN ĐỀ PHÁP LÝ VỀ BẢO ĐẢM BÍ MẬT THÔNG TIN KHÁCH HÀNG TRONG HOẠT ĐỘNG NGÂN HÀNG

Kết quả hình ảnh cho Confidential customer information  NGUYỄN THỊ KIM THOA – Trường Đại học Ngân hàng tp. HCM

Đảm bảo bí mật thông tin khách hàng là một trong các vấn đề mang tính “sống còn” trong kế hoạch phát triển kinh doanh của các tổ chức tín dụng (TCTD). Trên thực tế, việc rò rỉ thông tin khách hàng đã khiến một số TCTD mất đi nhiều khách hàng tiềm năng, khách hàng trung thành mà họ đã phải mất một khoảng thời gian dài để xây dựng mối quan hệ ấy1. Về phía khách hàng của các TCTD, việc rò rỉ thông tin sẽ khiến họ phải gánh chịu nhiều hệ lụy trong cuộc sống cũng như hoạt động kinh doanh của họ.

Tại Việt Nam, cùng với sự phát triển mạnh mẽ của của khoa học công nghệ và truyền thông, các TCTD cũng đã triển khai nhiều dịch vụ thanh toán mới phù hợp với xu thế thanh toán của các nước trong khu vực và trên thế giới. Tuy nhiên, cùng với sự phát triển các dịch vụ đó là các hành vi khai thác thông tin cũng tinh vi hơn, việc xâm phạm bí mật thông tin của khách hàng trong hoạt động ngân hàng càng trở nên phổ biến hơn, vì vậy, việc đảm bảo bí mật những thông tin và dữ liệu của khách hàng là điều vô cùng cần thiết.

1. Khuôn khổ pháp luật về đảm bảo bí mật thông tin khách hàng trong hoạt động ngân hàng ở Việt Nam

Đảm bảo bí mật thông tin của khách hàng sẽ giúp cho các TCTD tối thiểu hóa được các thiệt hại khi có rủi ro xảy ra, đồng thời, tối đa được các lợi nhuận thu được từ các hoạt động kinh doanh. Bảo đảm các bí mật thông tin của khách hàng cũng chính là bảo vệ sự phát triển liên tục và bền vững của các TCTD. Nhận thức rõ vai trò quan trọng của hoạt động đảm bảo bí mật thông tin khách hàng trong sự phát triển của các TCTD và của nền kinh tế, khuôn khổ pháp luật về bảo mật thông tin khách hàng trong lĩnh vực hoạt động ngân hàng không ngừng được củng cố và điều chỉnh phù hợp với thực tiễn phát triển của đất nước.

Nội dung của đảm bảo bí mật thông tin khách hàng được ghi nhận ở nhiều cấp độ văn bản khác nhau. Hiến pháp Việt Nam hiện hành đã có quy định về quyền được đảm bảo bí mật thông tin của cá nhân: “mọi người có quyền bí mật thư tín, điện thoại, điện tín và các hình thức trao đổi thông tin riêng tư khác”2. Mặc dù quy định này chỉ ghi nhận quyền của cá nhân đối với bí mật thư tín, điện thoại, điện tín nhưng nó có ý nghĩa cho phép các nhà làm luật trên cơ sở này xây dựng những quy định về đảm bảo bí mật thông tin trong nhiều lĩnh vực khác, trong đó có lĩnh vực ngân hàng.

 

Trên cơ sở của Hiến pháp Việt Nam, Quốc hội – cơ quan thực hiện quyền lập hiến, quyền lập pháp và quyết định các vấn đề quan trọng của đất nước và giám sát tối cao đối với các hoạt động của nhà nước3 đã ban hành nhiều đạo luật đảm bảo thực hiện hóa quyền được đảm bảo bí mật thông tin của cá nhân, tổ chức trong lĩnh vực chuyên biệt – lĩnh vực hoạt động ngân hàng. (Bảng 1)

Bảng 1. Nội dung các quy định về đảm bảo bí mật thông tin khách hàng trong lĩnh vực hoạt động ngân hàng trong các đạo luật do Quốc hội ban hành

STT

Tên đạo luật

Nội dung điều chỉnh bảo mật thông tin khách hàng

1

Bộ luật Dân sự năm 2015

– Ghi nhận nghĩa vụ chung về đảm bảo bí mật thông tin khách hàng: các bên trong hợp đồng không được tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân, bí mật gia đình của nhau mà mình đã biết được trong quá trình xác lập, thực hiện hợp đồng, trừ trường hợp có thỏa thuận khác (Điều 38)

– Đảm bảo bí mật thông tin được đề cập cụ thể trong các quy định về giao kết hợp đồng, cung ứng dịch vụ bao gồm:

+ Trách nhiệm đảm bảo bí mật thông tin và không được sử dụng thông tin cho mục đích riêng của mình hoặc cho mục đích trái pháp luật khác trong quá trình giao kết hợp đồng (Điều 387)

+ Bên cung ứng dịch vụ có nghĩa vụ giữ bí mật thông tin mà mình biết được trong thời gian thực hiện công việc, nếu có thoả thuận hoặc pháp luật có quy định (Điều 517)

+ Bên được ủy quyền có nghĩa vụ giữ bí mật thông tin mà mình biết được trong khi thực hiện việc uỷ quyền (Điều 565)

– Quy định chế tài bồi thường thiệt hại do vi phạm nghĩa vụ, cách thức xác định trách nhiệm dân sự đối với những chủ thể vi phạm: Điều 387, Điều 517, Điều 565, Điều 351, 361, 364, 584

2

Luật Ngân hàng nhà nước Việt Nam năm 2010

– Ghi nhận quyền của NHNNVN được từ chối cung cấp thông tin trong một số trường hợp luật định

– Quy định trách nhiệm của cán bộ, công chức Ngân hàng Nhà nước phải giữ bí mật thông tin hoạt động nghiệp vụ của Ngân hàng Nhà nước, của các TCTD và bí mật tiền gửi của tổ chức, cá nhân theo quy định của pháp luật (Điều 38)

3

Luật Các tổ chức tín dụng năm 2010

– Ghi nhận nghĩa vụ phải bảo đảm bí mật thông tin liên quan đến tài khoản, tiền gửi, tài sản gửi và các giao dịch của khách hàng tại TCTD, chi nhánh ngân hàng nước ngoài; không được cung cấp thông tin này cho tổ chức, cá nhân khác, trừ trường hợp có yêu cầu của cơ quan nhà nước có thẩm quyền theo quy định của pháp luật hoặc được sự chấp thuận của khách hàng (Điều 13, Điều 14)

– Quy định trách nhiệm từ chối việc điều tra, phong tỏa, cầm giữ, trích chuyển tiền gửi của khách hàng, trừ trường hợp có yêu cầu của cơ quan nhà nước có thẩm quyền theo quy định của pháp luật hoặc được sự chấp thuận của khách hàng (Điều 10)

4

Luật Công nghệ thông tin năm 2006

– Ghi nhận nghĩa vụ phải tiến hành các biện pháp quản lý, kỹ thuật cần thiết để bảo đảm thông tin cá nhân không bị mất, đánh cắp, tiết lộ, thay đổi hoặc phá huỷ khi thu thập, xử lý và sử dụng thông tin cá nhân trên môi trường mạng (Điều 21); không được cung cấp thông tin cá nhân của người khác cho bên thứ ba, trừ trường hợp pháp luật có quy định khác hoặc có sự đồng ý của người đó (Điều 22)

– Nghĩa vụ phải bảo đảm bí mật thông tin riêng hợp pháp của tổ chức, cá nhân trao đổi, truyền đưa, lưu trữ trên môi trường mạng theo quy định của pháp luật (Điều 72)

– Ghi nhận quyền yêu cầu bồi thường thiệt hại do hành vi vi phạm trong việc cung cấp thông tin cá nhân (Điều 22).

– Quy định về hình thức xử lý khi vi phạm nghĩa vụ, tùy theo tính chất, mức độ vi phạm mà bị xử lý kỷ luật, xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự, nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật (Điều 77)

5

Luật Bảo vệ quyền lợi người tiêu dùng năm 2010

– Ghi nhận quyền của người tiêu dùng được bảo đảm an toàn, bí mật thông tin của mình khi tham gia giao dịch, sử dụng hàng hóa, dịch vụ, trừ trường hợp cơ quan nhà nước có thẩm quyền yêu cầu và trách nhiệm của các tổ chức, cá nhân kinh doanh hàng hóa, dịch vụ trong việc thu thập, sử dụng, chuyển giao thông tin của người tiêu dùng (Điều 6)

– Quy định các biện pháp chế tài tùy theo tính chất, mức độ của hành vi vi phạm: bị xử lý kỷ luật, phạt vi phạm hành chính, truy cứu trách nhiệm hình sự, phải bồi thường thiệt hại (Điều 11)

6

Luật An toàn thông tin mạng năm 2015

– Ghi nhận nguyên tắc bảo vệ thông tin cá nhân trên mạng:

Chủ thể xử lý thông tin cá nhân có trách nhiệm bảo đảm an toàn thông tin mạng đối với thông tin do mình xử lý; phải xây dựng và công bố công khai biện pháp xử lý, bảo vệ thông tin cá nhân của tổ chức, cá nhân mình (Điều 16)

– Quy định trách nhiệm của các chủ thể thu thập và sử dụng thông tin cá nhân: thu thập thông tin cá nhân sau khi có sự đồng ý của chủ thể thông tin cá nhân về phạm vi, mục đích của việc thu thập và sử dụng thông tin đó; chỉ sử dụng thông tin cá nhân đã thu thập vào mục đích khác mục đích ban đầu sau khi có sự đồng ý của chủ thể thông tin cá nhân; không được cung cấp, chia sẻ, phát tán thông tin cá nhân mà mình đã thu thập, tiếp cận, kiểm soát cho bên thứ ba, trừ trường hợp có sự đồng ý của chủ thể thông tin cá nhân đó hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền (Điều 17)

– Quy định trách nhiệm của cơ quan quản lý nhà nước trong bảo vệ thông tin cá nhân trên mạng như: thiết lập kênh thông tin trực tuyến để tiếp nhận kiến nghị, phản ánh của tổ chức, cá nhân liên quan đến bảo đảm an toàn thông tin cá nhân trên mạng. Định kỳ hằng năm tổ chức thanh tra, kiểm tra đối với tổ chức, cá nhân xử lý thông tin cá nhân; tổ chức thanh tra, kiểm tra đột xuất trong trường hợp cần thiết (Điều 20)

7

Luật Xử lý vi phạm hành chính năm 2012

Quy định về chủ thể, mức phạt tiền tối đa trong các lĩnh vực trong đó có lĩnh vực tiền tệ và ngân hàng từ đó làm cơ sở pháp lý để xác định trách nhiệm hành chính có liên quan trong hoạt động đảm bảo bí mật thông tin khách hàng của tổ chức hoạt động ngân hàng2 (Điều 24)

8

Bộ luật Hình sự năm 2015

– Ghi nhận tội lợi dụng chức vụ, quyền hạn; tội lạm quyền trong khi thi hành công vụ Điều 356, Điều 357; tội cố ý làm lộ bí mật công tác; tội chiếm đoạt, mua bán hoặc tiêu hủy tài liệu bí mật công tác (Điều 361); tội vô ý làm lộ bí mật công tác; tội làm mất tài liệu bí mật công tác (Điều 362)

– Ngoài ra, BLHS năm 2015 cũng đã quy định cụ thể về tội thu thập, tàng trữ, trao đổi, mua bán, công khai hóa trái phép thông tin về tài khoản ngân hàng (Điều 291).

  Nguồn: Tổng hợp của tác giả

Thực hiện chức năng quản lý nhà nước về tiền tệ, hoạt động ngân hàng và ngoại hối, Ngân hàng Nhà nước Việt Nam (NHNN), Thống đốc NHNN Việt Nam cũng đã ban hành nhiều văn bản để cụ thể hóa hoạt động quản lý trong lĩnh vực ngân hàng.

(Bảng 2)

Bảng 2. Tên văn bản hướng dẫn về hoạt động đảm bảo bí mật thông tin của khách hàng trong hoạt động ngân hàng

STT Tên văn bản Nội dung
1

Nghị định số 70/2000/NĐ-CP ngày 22/11/2000

Giữ bí mật, lưu trữ và cung cấp thông tin liên quan đến tiền gửi và tài sản gửi của khách hàng

2

Nghị định 96/2014/NĐ-CP ngày 17/10/2014

Xử phạt vi phạm hành chính trong lĩnh vực tiền tệ và ngân hàng

3

Thông tư số 02/2001/TT-NHHH ngày 04/4/2001

Hướng dẫn thực hiện nghị định số 70/2000/NĐ-CP ngày 21 tháng 11 năm 2000 của Chính phủ về việc giữ bí mật, lưu trữ và cung cấp thông tin liên quan đến tiền gửi và tài sản gửi của khách hàng

4

Quyết định số 1004/2001/QĐ-NHNN ngày 08/8/2001

Về việc sửa đổi tiết a điểm 2.2 Mục II Thông tư số 02/2001/TT-NHNN

5

Thông tư số 08/VBHN-NHNN ngày 21/5/2014

Văn bản hợp nhất Thông tư hướng dẫn Nghị định 70/2000/NĐ-CP về giữ bí mật, lưu trữ và cung cấp thông tin liên quan đến tiền gửi và tài sản gửi của khách hàng do Ngân hàng Nhà nước Việt Nam ban hành

6

Thông tư 03/2013/TT- NHNN ngày 28/1/2013

Hoạt động thông tin tín dụng của Ngân hàng Nhà nước Việt Nam

7

Quyết định số 35/2006/QĐ-NHNN ngày 31/7/2006

Các nguyên tắc quản lý rủi ro trong hoạt động ngân hàng điện tử

8

Thông tư số 29/2011/TT-NHNN ngày 21/9/2011

Quy định về Về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên mạng Internet

9

Thông tư số 35/2016/TT-NHNN ngày 29/12/2016

Quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên internet

10

Thông tư 36/2012/TT-NHNN ngày 28/12/2012

Quy định về trang bị, quản lý, vận hành và đảm bảo an toàn hoạt động của máy giao dịch tự động

11

Thông tư số 31/2015/TT-NHNN ngày 28/12/2015

Quy định về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng

Nguồn: Tổng hợp của tác giả

2. Đánh giá nội dung các quy định về đảm bảo bí mật thông tin khách hàng

2.1. Những kết quả đạt được trong các quy định pháp luật về đảm bảo bí mật thông tin khách hàng của tổ chức tín dụng

Thứ nhất, về hoạt động xây dựng pháp luật về đảm bảo bí mật thông tin của khách hàng của các TCTD cho thấy, lĩnh vực pháp luật này được ghi nhận ở nhiều cấp độ văn bản khác nhau, cụ thể đã ghi nhận quyền được đảm bảo bí mật thông tin khách hàng như là quyền con người trong Hiến pháp năm 2013. Đồng thời, cũng quy định đây là nghĩa vụ pháp lý phát sinh trong hoạt động nghề nghiệp của các TCTD, là nghĩa vụ hợp đồng giữa khách hàng và các TCTD trong các luật chung, luật chuyên ngành4 đã đề cập ở bảng trên.

Thứ hai, về nội dung quy định pháp luật về đảm bảo bí mật thông tin khách hàng của các TCTD có thể nhận thấy:

– Pháp luật về đảm bảo bí mật thông tin khách hàng của các TCTD đã tạo lập được hành lang pháp lý cho các chủ thể tham gia hoạt động ngân hàng thực hiện các quyền và nghĩa vụ đảm bảo bí mật thông tin khách hàng, cụ thể:

+ Đối với các TCTD, khi các tổ chức này yêu cầu khách hàng cung cấp các thông tin để phục vụ cho hoạt động kinh doanh của mình thì các tổ chức này phải có nghĩa vụ bảo đảm bí mật thông tin khách hàng mà họ có được6, đồng thời các tổ chức hoạt động ngân hàng cũng có quyền từ chối yêu cầu cung cấp thông tin của bên thứ ba nhằm đảm bảo lợi ích của khách hàng7.

+ Đối với bên thứ ba là các tổ chức chuyên môn được TCTD thuê hoặc hợp tác với TCTD cung cấp dịch vụ kỹ thuật hỗ trợ cho hoạt động kinh doanh của các TCTD có nghĩa vụ đảm bảo bí mật thông tin theo hợp đồng đã ký kết với các TCTD8.

+ Đối với khách hàng, khi tham gia vào quan hệ với các tổ chức hoạt động ngân hàng sẽ có nghĩa vụ cung cấp các thông tin theo yêu cầu, đồng thời khách hàng cũng có đặc quyền là các thông tin về tài khoản, giao dịch và một số thông tin khác của mình phải được bảo vệ một cách hợp pháp và không thể bị xâm hại bởi bên thứ ba không có thẩm quyền tiếp cận thông tin như đã đề cập trong Luật Các tổ chức tín dụng năm 2010, Luật An toàn thông tin mạng năm 2015, Luật Bảo vệ quyền lợi người tiêu dùng năm 2010 ở bảng liệt kê trên.

Thứ ba, hành vi vi phạm nghĩa vụ đảm bảo bí mật thông tin khách hàng các TCTD có thể dẫn đến những thiệt hại ở những mức độ khác nhau cho khách hàng. Chính vì vậy, pháp luật Việt Nam cũng đã quy định các loại chế tài có thể áp dụng nhằm điều chỉnh các hành vi vi phạm nghĩa vụ đảm bảo bí mật thông tin của khách hàng; các biện pháp chế tài như bị xử lý kỷ luật, phạt vi phạm hành chính, truy cứu trách nhiệm hình sự, phải bồi thường thiệt hại sẽ được áp dụng tùy theo tính chất, mức độ của hành vi vi phạm.

2.2. Một số bất cập trong các quy định pháp luật về đảm bảo bí mật thông tin khách hàng trong hoạt động ngân hàng và khuyến nghị

Một là, pháp luật về đảm bảo bí mật thông tin khách hàng chỉ mới quy định về sự cần thiết phải đảm bảo bí mật thông tin khách hàng, các quy định này còn chung chung, chưa rõ ràng, cụ thể, các điều luật trong các luật chuyên ngành đều được quy định theo hướng “không được cung cấp thông tin này cho tổ chức, cá nhân khác, trừ trường hợp có yêu cầu của cơ quan nhà nước có thẩm quyền theo quy định của pháp luật hoặc được sự chấp thuận của khách hàng”9. Vậy, các cơ quan theo luật định nào được quyền cầu các TCTD phải cung cấp thông tin của khách hàng thì chưa được liệt kê một cách cụ thể.

Luật NHNN Việt Nam năm 2010 và Luật Các TCTD năm 2010 đã có quy định việc các TCTD cung cấp thông tin cho Ngân hàng Nhà nước10 thông qua CIC (CIC: The Credit Information Centre- là một đơn vị sự nghiệp thuộc Ngân hàng Nhà nước Việt Nam)11; được trao đổi thông tin với nhau về hoạt động của TCTD, chi nhánh ngân hàng nước ngoài12- mục đích của việc cung cấp thông tin khách hàng cho các chủ thể trên là nhằm giúp các TCTD hạn chế rủi ro hoạt động nhưng lại không có bất cứ quy định nào về các cơ quan khác theo luật định được yêu cầu các TCTD cung cấp thông tin của khách hàng. Tuy nhiên, trong Nghị định số 70/2000/NĐ-CP có hướng dẫn việc cung cấp thông tin liên quan đến tiền gửi và tài sản gửi của khách hàng cho các cơ quan có thẩm quyền theo luật định và chỉ gói gọn trong năm mục đích: (i) thanh tra; (ii) điều tra; (iii) truy tố; (iv) xét xử; (v) thi hành án13 và cũng chỉ dừng lại ở việc liệt kê các cơ quan được yêu cầu TCTD cung cấp thông tin khách hàng mà chưa có quy định giới hạn thông tin nào cần phải tiết lộ cho các cơ quan này và cách xử lý khi TCTD tiết lộ thông tin vượt quá ranh giới quy định.

Đồng thời, pháp luật ngân hàng cũng không hướng dẫn rõ cần có sự đồng ý của khách hàng là như thế nào, trong trường hợp nào, bằng hình thức nào để có thể cung cấp thông tin cho khách hàng hay các chủ thể có liên quan14. Có thể thấy rằng pháp luật Việt Nam chưa có quy định một cách bao quát các trường hợp được yêu cầu các TCTD cung cấp thông tin của khách hàng và cũng chưa hướng dẫn cụ thể hình thức được coi là có sự chấp thuận của khách hàng trong việc yêu cầu cung cấp thông tin bí mật của khách hàng15. Do vậy, cần có quy định liệt kê và hướng dẫn một cách đầy đủ, cụ thể chủ thể nào có quyền yêu cầu các TCTD cung cấp thông tin khách hàng của mình, giới hạn thông tin TCTD phải cung cấp cho các cơ quan theo luật định, nghĩa vụ đảm bảo bí mật thông tin khách hàng của các chủ thể này; bên cạnh đó các quy định cần hướng dẫn rõ như thế nào, trong trường hợp nào, bằng hình thức nào được coi là có sự chấp thuận của khách hàng để các TCTD có thể cung cấp thông tin cho các chủ thể có liên quan mà không vi phạm quyền của khách hàng cũng như có thể bảo vệ nhân viên trong trường hợp cung cấp thông tin khách hàng khi được khách hàng yêu cầu bằng lời nói hoặc thông qua các thông điệp dữ liệu, từ đó tạo điều kiện thuận lợi hơn trong việc giải quyết các tranh chấp phát sinh sau này.

Hai là, Luật NHNN Việt Nam năm 2010 và Luật Các TCTD năm 2010 và các văn bản hướng dẫn hiện hành chỉ mới dừng lại ở việc quy định về đảm bảo bí mật thông tin và cung cấp thông tin có liên quan đến tiền gửi và tài sản gửi của khách hàng, các thông tin khác của khách hàng như thông tin trong hoạt động cung cấp dịch vụ ủy thác, tư vấn tài chính… hiện chưa được đề cập và điều chỉnh. Do vậy, cần có quy định bổ sung về phạm vi thông tin khách hàng cần được đảm bảo bí mật, trách nhiệm đảm bảo bí mật thông tin của các loại khách hàng khác của TCTD, quy định về trách nhiệm pháp lý trong trường hợp TCTD cung cấp thông tin vượt quá giới hạn thông tin khách hàng cho các cơ quan theo luật định được quyền yêu cầu TCTD cung cấp thông tin của khách hàng. Đây là cơ sở để khách hàng bảo vệ lợi ích của mình khi bị các chủ thể này xâm hại.

Ba là, khi sử dụng các giao dịch trực tuyến, ngân hàng điện tử,… sử dụng các dịch vụ trên môi trường mạng internet, người sử dụng sẽ phải kê khai các thông tin cá nhân – những thông tin này gắn với việc xác định rõ ràng danh tính, nhân thân của một con người cụ thể, nhằm phân biệt người này với người khác. Dù rằng pháp luật về đã có những quy định về nghĩa vụ đảm bảo bí mật thông tin của tổ chức cung cấp dịch vụ kỹ thuật hỗ trợ cho hoạt động kinh doanh của TCTD là theo hợp đồng đã ký kết với các TCTD, nhưng nếu bí mật thông tin khách hàng bị chủ thể thứ ba tiết lộ trong quá trình này thì trách nhiệm của các TCTD – với tư cách là một chủ thể trực tiếp trong hợp đồng cung cấp dịch vụ cho khách hàng sẽ phải chịu trách nhiệm đến đâu, như thế nào lại chưa thấy pháp luật đề cập; trách nhiệm của các bên liên quan khi cung cấp các dịch vụ trên môi trường mạng khi thiệt hại do rò rỉ thông tin khách hàng cũng không được quy định chi tiết. Trong một số vụ rò rỉ thông tin của khách hàng, phía ngân hàng cho rằng hệ thống mã PIN16 được xây dựng và hoạt động dựa trên các thiết bị đảm bảo bí mật bằng phần cứng, không có sự can thiệp của nhân viên ngân hàng17. Khi đó, bất kỳ giao dịch nghi ngờ nào đều do lỗi từ phía khách hàng. Khi có tranh chấp pháp lý xảy ra, ngân hàng thường khẳng định chắc chắn vào tính tin cậy hệ thống đảm bảo bí mật của họ, nên không phát hiện được những lỗ hổng và lấy lý do an ninh để trốn tránh việc phải cung cấp thông tin về hệ thống này.

Có thể thấy rủi ro của khách hàng trong giao dịch với ngân hàng trực tuyến là khá phổ biến, do đó cần phải xác định những thiệt hại về tài chính xảy ra trong giao dịch trên ngân hàng internet (trong trường hợp nào là do lỗi của các TCTD, khách hàng hoặc các bên liên quan khác) để xác định ai phải chịu trách nhiệm cho những tổn thất. Bên cạnh đó, để nâng cao hiêu quả của việc áp dụng các biện pháp bảo vệ khách hàng khi quyền được đảm bảo bí mật thông tin của họ thì cần quy định rõ ràng trình tự, thủ tục để khách hàng có thể thực hiện quyền của mình khi bị các chủ thể nắm giữ thông tin vi phạm là cần thiết.

Bốn là, Luật NHNN Việt Nam năm 2010 và Luật Các TCTD năm 2010 đều ghi nhận nghĩa vụ giữ bí mật thông tin về khách hàng18 và các chế tài mà các TCTD sẽ gánh chịu tùy theo tính chất, mức độ của hành vi vi phạm: bị xử lý kỷ luật, phạt vi phạm hành chính, truy cứu trách nhiệm hình sự, phải bồi thường thiệt hại nhưng lại chưa có quy định để khách hàng có thể bảo vệ mình trong trường hợp có vi phạm xảy ra. Đây là nội dung quan trọng bởi nếu pháp luật chỉ ghi nhận quyền được đảm bảo bí mật thông tin khách hàng, nhưng cũng cần có quy định khách hàng biết phải làm gì trong trường hợp quyền của mình bị xâm phạm. Cụ thể, pháp luật phải quy định rõ ràng trình tự, thủ tục để khách hàng có thể thực hiện quyền của mình khi bị các chủ thể nắm giữ thông tin vi phạm. Hơn nữa, để yêu cầu cơ quan nhà nước có thẩm quyền bảo vệ quyền được đảm bảo bí mật thông tin của mình, khách hàng phải đưa ra chứng cứ để chứng minh cho yêu cầu của mình nhưng với những trường hợp như vậy khách hàng sẽ gặp nhiều khó khăn trong việc cung cấp các chứng cứ. Do đó, để nâng cao hiệu quả của việc áp dụng các biện pháp bảo vệ khách hàng khi quyền được đảm bảo bí mật thông tin của họ bị xâm phạm thì cần thiết có quy định một cơ chế riêng về áp dụng các biện pháp bảo vệ.

Năm là, việc quy định trách nhiệm đối với những hành vi vi phạm nghĩa vụ đảm bảo bí mật thông tin của khách hàng chưa được pháp luật quy định rõ ràng, cụ thể. Thông qua các liệt kê ở bảng trên, có thể nhận thấy rằng, các quy định về xử lý vi phạm đối với vấn đề đảm bảo bí mật thông tin khách hàng còn chung chung, hầu như chỉ dẫn chiếu “theo quy định của pháp luật”; đồng thời các văn bản quy phạm pháp luật hiện hành chưa dự liệu được các hành vi vi phạm thông tin bí mật của khách hàng, chế tài tương xứng với các hành vi vi phạm ấy. Do đó, việc ban hành đồng bộ các quy phạm pháp luật để điều chỉnh hành vi vi phạm bí mật thông tin khách hàng, quy định một khung pháp lý xử phạt đủ mạnh như mức độ vi phạm, mức phạt, mức độ bồi thường trong trường hợp TCTD để lộ bí mật thông tin khách hàng hoặc không tuân thủ đầy đủ các quy định pháp luật về công nghệ thông tin dù cố ý hay vô ý là cần thiết. Đồng thời, cần xác định rõ hơn những trường hợp vi phạm nào thì phải xử phạt vi phạm hành chính, trường hợp nào phải truy cứu trách nhiệm hình sự. Từ đó phân định rõ vụ việc thuộc trách nhiệm cụ thể của cơ quan nào, tạo điều kiện thuận lợi cho khách hàng khi khiếu kiện, tránh trường hợp đùn đẩy giữa các cơ quan có thẩm quyền, đồng thời giúp các cơ quan có thẩm quyền giải quyết vụ việc dễ dàng hơn.

Kết luận

Tóm lại, các quy định của pháp luật Việt Nam về đảm bảo bí mật thông tin khách hàng của các TCTD đã được quan tâm và điều chỉnh. Tuy nhiên, các quy định pháp luật hiện hành ở Việt Nam còn một số bất cập, chưa theo kịp sự thay đổi của tình hình thực tế. Do đó, cần rà soát, sửa đổi, bổ sung các quy định về đảm bảo bí mật thông tin khách hàng trong hoạt động ngân hàng trên cơ sở nghiên cứu thực tiễn, đồng thời cần tiếp thu kinh nghiệm quốc tế trong việc xây dựng pháp luật để điều chỉnh các vấn đề liên quan đến đảm bảo bí mật thông tin phù hợp với kỷ nguyên số hóa và xu thế hội nhập.

Chú thích:

1Đọc thêm: Minh Hiếu, Khách hàng Vietcombank chỉ ra lỗ hổng trong hệ thống OTP, <http://kienthuc.net.vn/tien-vang/khach-hang-vietcombank-chi-ra-lo-hong-trong-he-thong-otp-726639.html>, truy cập ngày 10/12/2016

2Điều 73 Hiến pháp năm 1992 đã quy định: “thư tín, điện thoại, điện tín được đảm bảo an toàn và bí mật”. Hiện nay, nội dung này được khẳng định tại khoản 2 Điều 21 Hiến pháp năm 2013.

3Khoản 2 Điều 1 Luật tổ chức quốc hội 2014

4Xem thêm: Nguyễn Thị Kim Thoa (2016), Nghĩa vụ bảo mật thông tin khách hàng theo quy định pháp luật một số nước trên thế giới và kinh nghiệm cho Việt Nam, Tạp chí Khoa học pháp lý (7)

5Nghị định số 96/2014/NĐ-CP ngày 17/10/2014 của Chính phủ quy định về xử phạt vi phạt vi phạm hành chính trong lĩnh vực tiền tệ và ngân hàng

6Tổ chức tín dụng phải yêu cầu khách hàng cung cấp tài liệu chứng minh phương án sử dụng vốn khả thi, khả năng tài chính của mình, mục đích sử dụng vốn hợp pháp, biện pháp bảo đảm tiền vay trước khi quyết định cấp tín dụng…; Tổ chức tín dụng có quyền yêu cầu khách hàng vay báo cáo việc sử dụng vốn vay và chứng minh vốn vay được sử dụng đúng mục đích vay vốn (Điều 94 Luật các tổ chức tín dụng năm 2010)

7Điều 13, 14 Luật Các tổ chức tín dụng năm 2010

8Xem thêm:

– Điều 13 Quyết định số 35/2006/QĐ-NHNN ngày 31/7/2006 của Thống đốc Ngân hàng Nhà nước Việt Nam

– Khoản 3 Điều 5 Thông tư số 29/2011/TT-NHNN ngày 21/9/2011 của Ngân hàng Nhà nước Việt Nam

– Khoản 2 Điều 30, Điều 32 Thông tư số 31/2015/TT-NHNN ngày 28/12/2015 của Ngân hàng Nhà nước Việt Nam

9Khoản 3 Điều 14 Luật các TCTD2010

10Điều 35 Luật Ngân hàng Nhà nước Việt Nam năm 2010

11Trung tâm Thông tin tín dụng (CIC) là tổ chức sự nghiệp nhà nước thuộc Ngân hàng Nhà nước Việt Nam, có chức năng thu nhận, lưu trữ, phân tích, xử lý, dự báo thông tin tín dụng phục vụ cho yêu cầu quản lý nhà nước của Ngân hàng Nhà nước; thực hiện các dịch vụ thông tin ngân hàng theo quy định của Ngân hàng Nhà nước và của pháp luật.

12Điều 13 Luật Các tổ chức tín dụng năm 2010

13Xem thêm Điều 5 Nghị định 70/2000/NĐ-CP

14Mục 2.2.a Thông tư số 08/VBHN ngày 21/5/2014 Hướng dẫn Nghị định 70/2000/NĐ-CP về giữ bí mật, lưu trữ và cung cấp thông tin liên quan đến tiền gửi và tài sản gửi của khách hàng do Ngân hàng Nhà nước Việt Nam ban hành chỉ quy định việc cung cấp thông tin liên quan đến tiền gửi và tài sản gửi của khách hàng theo yêu cầu của khách hàng được thực hiện theo hướng dẫn của từng tổ chức nhận tiền gửi và tài sản gửi của khách hàng hoặc theo thỏa thuận bằng văn bản giữa tổ chức nhận tiền gửi, tài sản gửi và khách hàng.

15Về quy định chấp thuận của khách hàng trong việc yêu cầu cung cấp thông tin bí mật của khách hàng có thể được quy định rõ trong điều khoản của hợp đồng bảo mật thông tin. Tuy nhiên khảo sát các hợp đồng của các tổ chức tín dụng vấn đề này cũng chỉ quy định một cách chung chung. Do đó, đây cũng được coi là một lỗ hổng trong đảm bảo bí mật thông tin của các tổ chức tín dụng như sự thừa nhận của tổng giám đốc một ngân hàng thương mại cổ phần.

Xem thêm: Hồng Dung, Bảo mật thông tin khách hàng: lỗ hổng từ ngân hàng, <http://tinnhanhchungkhoan.vn/tien-te/bao-mat-thong-tin-khach-hang-lo-hong-tu-ngan-hang-134093.html>, truy cập ngày 10/12/2016

16PIN (Personal Identification Number) là mã số định danh cá nhân, dùng để xác nhận người dùng

17Thanh Lan, Bỗng dưng mất nữa tỷ trong tài khoản sau một đêm, <http://kinhdoanh.vnexpress.net/tin-tuc/ebank/ngan-hang/bong-dung-mat-nua-ty-dong-trong-tai-khoan-sau-mot-dem-3451620.html>, truy cập 15/12/2016

Nguyễn Thơm, Mất 26 tỷ trong tài khoản: Khách hàng có còn niềm tin?, < http://news.zing.vn/mat-26-ty-trong-tai-khoan-khach-hang-co-con-niem-tin-post676389.html> truy cập 15/12/2016

TÀI LIỆU THAM KHẢO:

[1] Bộ luật Dân sự 2015

[2] Bộ Luật Hình sự 2015

[3] Hiến Pháp Việt Nam 1992, Hiến Pháp Việt Nam 2013

[4] Luật An toàn thông tin mạng năm 2015

[5] Luật Bảo vệ quyền lợi người tiêu dùng năm 2010

[6] Luật Ngân hàng Nhà nước Việt Nam năm 2010

[7] Luật các Tổ chức tín dụng năm 2010

[8] Luật Công nghệ thông tin năm 2006

[9] Luật Tổ chức quốc hội 2014

[10] Luật Tổ chức Chính phủ năm 2015

[11] Luật Xử lý vi phạm hành chính năm 2012

[12] Hồng Dung, “Bảo mật thông tin khách hàng: lỗ hổng từ ngân hàng”, <http://tinnhanhchungkhoan.vn/tien-te/bao-mat-thong-tin-khach-hang-lo-hong-tu-ngan-hang-134093.html>, truy cập ngày 10/12/2016.

[13] Minh Hiếu, Khách hàng Vietcombank chỉ ra lỗ hổng trong hệ thống OTP, <http://kienthuc.net.vn/tien-vang/khach-hang-vietcombank-chi-ra-lo-hong-trong-he-thong-otp-726639.html>, truy cập ngày 10/12/2016.

[14] Nguyễn Thơm, Mất 26 tỷ trong tài khoản: Khách hàng có còn niềm tin?, <http://news.zing.vn/mat-26-ty-trong-tai-khoan-khach-hang-co-con-niem-tin-post676389.html> truy cập 15/12/2016.

[15] Thanh Lan, Bỗng dưng mất nữa tỷ trong tài khoản sau một đêm, <http://kinhdoanh.vnexpress.net/tin-tuc/ebank/ngan-hang/bong-dung-mat-nua-ty-dong-trong-tai-khoan-sau-mot-dem-3451620.html>, truy cập 15/12/2016

[16] Nguyễn Thị Kim Thoa (2016), Nghĩa vụ bảo mật thông tin khách hàng theo quy định pháp luật một số nước trên thế giới và kinh nghiệm cho Việt Nam, Tạp chí Khoa học pháp lý (7)

SOURCE: TẠP CHÍ NGÂN HÀNG SỐ 8 NĂM 2017

Ttích dẫn từ: www.sbv.gov.vn

1900.0191